Även om ransomware-grupper inte har skonat någon industri, har angripare satt sjukvårdssektorn i toppen av sina föredragna mål. Ökningen av sjukhus som faller offer för intrång har väckt oro bland tillsynsmyndigheter och regeringstjänstemän som har flyttat för att driva igenom ny policy och lagstiftning.
CommonSpirit, ett av de största ideella hälsovårdssystemen i USA, skrev ett meddelande om integritetsintrång den 1 december, varnade att 623,774 16 patientjournaler avslöjades efter ett intrång den 140 september. Det rikstäckande nätverket av 1,000 sjukhus och över 21 XNUMX vårdinrättningar i XNUMX delstater bekräftade att ransomware-angripare fick tillgång till patientjournalerna, men sa att det för närvarande inte finns några bevis att personuppgifter har missbrukats. De potentiellt drabbade patienterna var de som behandlades vid CommonSpirits Franciscan Medical Group och Franciscan Health i Washington. De fyra sjukhusen är nu kända som Virginia Mason Franciscan Health, en CommonSpirit-filial.
Den nuvarande spiken bygger vidare fjolårets 35% ökning av totala attacker på vårdgivare jämfört med 2020, enligt Critical Insight, en leverantör av managed detection and response (MDR). Enligt Critical Insight påverkade cyberattacker mot vårdgivare 45 miljoner individer förra året, jämfört med 34 miljoner 2020 och 14 miljoner 2018.
I oktober rapporterade FBI Internet Crime Complaint Center (ICA) att bland 16 kritiska infrastrukturer står hälso- och sjukvårdssektorn för 25 % av klagomålen om ransomware. US Department of Health and Human Services (HHS) utfärdade i april en varning för Hive, en aggressiv ransomware-grupp som har riktat sig mot sjukvårdsorganisationer.
HHS Health Sector Cybersecurity Coordination Center (HC3) noterade att Hive är känt för att ha varit i drift sedan juni 2021, och "under den tiden har varit mycket aggressiv med att rikta in sig på den amerikanska hälsosektorn."
En annan hackergrupp som nyligen har dykt upp som riktar sig till vårdgivare med ransomware är Daixin Team. I oktober anslöt sig HHS till Cybersecurity and Infrastructure Agency (CISA) och FBI med en rådgivande varning om att Daixin Team söker aktivt vårdgivare med ransomware som använder Babuk Locker, källkod som krypterar filer i VMware EXSi-servrar.
Daixin Teams ransomware krypterar vårdgivares elektroniska journaler, diagnostik, bildbehandling och intranättjänster, enligt råden. Gruppen har också exfiltrerat personligt identifierbar information (PII) och patienthälsoinformation (PHI) och har utpressat lösensummor genom att hota att släppa dessa uppgifter.
Ransomwares inverkan på sjukvården
Under Disruptiva innovatörer CIO Forum i New York tidigare den här månaden, en konferens fokuserad på framväxande teknologi för sjukvårdsindustrin, en paneldiskussion behandlade ökningen av ransomware. "Ransomware är nu förmodligen den största säkerhetsfrågan för de flesta vårdorganisationer idag", säger Christopher Kunney, SVP för digital innovation på Divurgent, ett IT-rådgivningsföretag för vårdorganisationer.
Kunney, en av paneldeltagarna, varnade för att ransomware kommer att förbli ett växande hot inom vården "när vi utökar fotavtrycket utanför sjukhusets fyra väggar och vi tittar på saker som virtuell vård och annan teknik som nu kan sitta ovanpå vårt nätverk infrastruktur."
Saket Modi, som modererade panelen och är medgrundare och VD för Safe Security, noterade att en av första kända dödsfall tillskrivas ransomware, en nyfödd i Alabama, inträffade förra året. ”En ransomware-attack är inte längre bara ekonomisk och rykte; det kan ha en verklig inverkan på människors liv, säger Modi. Förutom risken för dataexfiltrering är attacker med ransomware en risk för tillhandahållandet av patientvård, särskilt när angripare kommer åt system som är ansvariga för att hålla patienter vid liv.
”Vi måste inse att cybersäkerhet inte bara handlar om datasäkerhet; det är också en fråga om liv och död”, tillade Michael Archuleta, CIO på Mt. San Rafael Hospital and Clinics i Trinidad, Colo.
Med tanke på att covid tvingade vårdgivare att påskynda sina ansträngningar för digital transformation de senaste åren, har många organisationer inte tagit itu med säkerhetsriskerna i samband med implementeringstekniken och systemen som nu är tillgängliga.
"Vi lever i sjukvårdens digitala tidsålder och vi måste börja införliva initiativ som tekniska resultat som bättre förbättrar vår totala upplevelse och bättre förbättrar patientresultaten, men som också håller hela organisationen säkra på framåt," sa Archuleta.
Healthcare Cybersecurity Act från 2022
För att hejda de ökande attackerna sponsrade rep. Jason Crow (D-CO) Healthcare Cybersecurity Act. Lagförslaget, som lades fram i september, skulle kräva att CISA samarbetar med HHS för att förbättra cybersäkerheten inom hälsovårdsindustrin.
Enligt lagförslagets sammanfattning, CISA och HHS skulle tillhandahålla resurser "inklusive indikatorer för cyberhot och lämpliga försvarsåtgärder, tillgängliga för federala och icke-federala enheter som tar emot information genom HHS-program."
Lagförslaget kräver också att CISA tillhandahåller utbildning och saneringsstrategier för cybersäkerhet till dem som äger eller tillhandahåller hälso- och sjukvårdstjänster. Archuleta, CIO för Mt. San Rafaels sjukhus och kliniker, sa det 91 % av riktade attacker mot ransomware kom från nätfiske-e-postmeddelanden riktade till anställda, av vilka många inte har fått tillräcklig utbildning. "Vi fokuserar inte på att utveckla en mänsklig brandvägg inom vår organisation", sa han.
Under tiden publicerade senator Mark Warner (D-VA) en vitbok om policyalternativ som beskriver befintliga cybersäkerhetshot och potentiella svar från den federala regeringen. Uppsatsen bygger på Warners personal och cybersäkerhetsexperters forskning och en bred uppsättning alternativ för den federala regeringen att samarbeta med vårdgivare för att förbättra deras cyberskyddskapacitet och en plan för att återhämta sig från attacker.
"Hälsovårdssektorn är unikt sårbar för cyberattacker, och övergången till bättre cybersäkerhet har varit smärtsamt långsam och otillräcklig," Warner sade i ett uttalande. "Den federala regeringen och hälsosektorn måste hitta en balanserad strategi för att möta de allvarliga hoten, som partner med delat ansvar."
